PSD2 والمصادقة القوية
يفرض التوجيه الأوروبي لخدمات الدفع (PSD2)، المُدمَج في القانون الفرنسي منذ 2019، مصادقةً قوية — تُعرف بـ SCA أو المصادقة القوية للعميل (Strong Customer Authentication) — لجميع عمليات الدفع عبر الإنترنت والوصول إلى الحسابات المصرفية.
تتطلّب SCA الجمع بين عاملين على الأقل من ثلاث فئات: شيء تعرفه (كلمة مرور، رمز PIN، سؤال سري)، وشيء تملكه (هاتف، رمز مادي، بطاقة ذكية)، وشيء تكونه (بصمة إصبع، تعرّف على الوجه، صوت).
لذلك فإن كلمة المرور ليست خطوة إلى الوراء — بل هي العامل الأول في المصادقة متعدّدة العوامل. أما العامل الثاني فهو عادةً إشعار فوري (push) في تطبيقك المصرفي أو رمز عبر رسالة نصية. هذه التركيبة هي ما يشكّل المصادقة القوية التي يفرضها التنظيم.
المصارف الفرنسية تحاول اللحاق بالركب
لا تزال عدّة مصارف فرنسية تقليدية تستخدم كلمات مرور من 6 أرقام أو رموزاً رقمية قصيرة. وهذا ليس ضعفاً تقنياً متعمّداً — بل قيد ناتج عن أنظمة قديمة. فأنظمة الخدمات المصرفية الأساسية في بعض المؤسسات تعود إلى ثمانينيات وتسعينيات القرن الماضي، وترحيلها يكلّف مئات ملايين اليوروهات.
أما المصارف الجديدة (neo-banks) والمصارف الإلكترونية — Revolut، N26، Lydia، Boursorama — فقد انتقلت إلى بُنى حديثة تدعم القياسات الحيوية الأصلية، والإشعارات الفورية، والرموز الديناميكية أحادية الاستخدام. صُمّمت أنظمتها للأجهزة المحمولة منذ اليوم الأول.
تخلق هذه الفجوة تصوّراً غير عادل: تبدو المصارف الكبيرة أقل أماناً في حين أنها في الواقع تطبّق التنظيم نفسه. الفرق يكمن في تجربة المستخدم، لا في المستوى الفعلي للحماية.
ما يمكنك فعله
أياً كان مصرفك، فإن بضعة إجراءات بسيطة ترفع مستوى حمايتك الفعلي إلى أقصى حد.
- →فعّل دائماً القياسات الحيوية في تطبيقك المصرفي إن كانت متاحة.
- →استخدم مدير كلمات مرور لتوليد وتخزين كلمة مرور طويلة وفريدة لكل مصرف.
- →لا تُعِد أبداً استخدام رمز PIN الخاص ببطاقة الخصم ككلمة مرور لخدمة أخرى — إنه الخطأ الأكثر شيوعاً.
- →فعّل إشعارات المعاملات الفورية لتكتشف على الفور أي عملية غير مصرّح بها.
- →تحقّق من الجلسات النشطة في تطبيقك بانتظام — تتيح لك معظم المصارف عرض الاتصالات الجارية وإغلاقها.
الحماية الحقيقية لا تكمن في تعقيد كلمة المرور بل في تفعيل عامل المصادقة الثاني. فرمز من 4 أرقام مقترن بتأكيد بيومتري أكثر أماناً موضوعياً من كلمة مرور من 20 حرفاً دون 2FA. ركّز جهودك على الإعداد الصحيح.
- Directive (EU) 2015/2366 (PSD2) of the European Parliament and of the Council on payment services in the internal market, 2015 — EUR-Lex
- Commission Delegated Regulation (EU) 2018/389 — Regulatory Technical Standards for Strong Customer Authentication, 2018 — EUR-Lex
- European Commission, Strong Customer Authentication requirement of PSD2 comes into force, 2019
تحقّق من أمان تطبيقاتك